Joomla 6.0.4 y 5.4.4: Parches de seguridad clave y correcciones de errores
Los desarrolladores de Joomla han lanzado las versiones 6.0.4 y 5.4.4, centradas en abordar vulnerabilidades y errores críticos. Estas versiones afectan al núcleo de las series 5.x y 6.x, reforzando las defensas contra inyecciones SQL, XSS y violaciones de ACL. Las actualizaciones son obligatorias para todas las instalaciones activas, ya que afectan a los componentes com_ajax, com_content y com_joomlaupdate.
Vulnerabilidades del núcleo: Desglose detallado
Las actualizaciones corrigen seis vectores de ataque clave:
- Core [20260301]: Refuerzo de ACL en com_ajax, que impide el acceso no autorizado a los endpoints AJAX.
- Core [20260302]: Bloqueo de inyección SQL en el servicio web de com_content para el endpoint de artículos.
- Core [20260303]: Corrección de XSS en el modo de comparación de asociaciones (com_associations).
- Core [20260304]: Resolución de múltiples problemas XSS en el renderizado del encabezado del material.
- Core [20260305]: Prohibición de eliminación arbitraria de archivos mediante com_joomlaupdate.
- Core [20260306]: Validación adecuada de derechos de acceso en la API de servicios web.
Estos parches minimizan los riesgos de explotación en entornos de producción que involucran entradas de usuario e interfaces de administración.
Correcciones de errores en interfaz y renderizado
Las actualizaciones incluyen correcciones para la estabilidad del panel de administración y el frontend:
- Eliminado el parpadeo de iconos en la barra lateral del administrador.
- Suprimidas las advertencias de PHP en la ventana modal «Salto de página».
- Normalizado el renderizado de marcadores de posición en solicitudes GET al contenido.
- Restaurado el icono de edición de medios cuando no hay plugins de acción.
- Corregidas las rutas relativas de CSS/JS en las páginas de error de la plantilla Cassiopeia.
Estos cambios mejoran la experiencia de usuario para desarrolladores de nivel intermedio y avanzado que trabajan con plantillas y extensiones personalizadas.
Mejoras en componentes del backend
Enfoque en la fiabilidad de los servicios del sistema:
- El botón «Versiones» está oculto cuando el componente de historial de contenido está deshabilitado.
- MailHelper ahora analiza correctamente dominios con caracteres inválidos.
- El programador de tareas es resistente a trabajos bloqueados: la ejecución continúa sin romper la cadena.
- TinyMCE se inicializa de forma fiable en Firefox Developer Edition.
Estas correcciones son críticas para tareas del servidor donde la tolerancia a fallos afecta a las tareas cron y procesos automatizados.
Recomendaciones de actualización
Antes de actualizar, realiza una copia de seguridad de tu base de datos y sistema de archivos. Prueba en un servidor de staging, verificando:
- Plugins personalizados en com_ajax y com_content.
- Integraciones con APIs externas mediante servicios web.
- Renderizado del frontend en asociaciones y gestor de medios.
Después de actualizar, monitorea los registros en busca de advertencias persistentes de PHP 8.x+.
Puntos clave
- Seis vulnerabilidades tipo CVE en el núcleo: SQLi, XSS, ACL y eliminación de archivos.
- Estabilización de administración: iconos, modales, marcadores de posición.
- Correcciones de backend: programador, MailHelper, TinyMCE en Firefox.
- Actualización obligatoria para todas las ramas LTS 5.x/6.x.
— Editorial Team
Aún no hay comentarios.